📬 FE 데일리 리포트

AI가 큐레이션한 프론트엔드 개발 뉴스

> 2026-03-18 > 의심에도 불구하고 연방 사이버 전문가들이 Microsoft 클라우드 서비...

의심에도 불구하고 연방 사이버 전문가들이 Microsoft 클라우드 서비스 승인

Despite Doubts, Federal Cyber Experts Approved Microsoft Cloud Service

📅 2026-03-18 📰 Hacker News (Top) ⬆ 421

요약

FedRAMP가 Microsoft의 GCC High 클라우드 서비스에 대해 보안 문제를 완전히 해결하지 못했음에도 불구하고 승인했다는 ProPublica 조사 결과다. 2020년부터 5년간의 검토 과정에서 Microsoft의 불충분한 보안 문서화로 인한 검증 어려움이 있었지만, 이미 정부 전역에 배포되었다는 이유로 결국 승인했다.

핵심 포인트

  • 2024년 말 FedRAMP 평가팀이 Microsoft의 '부실한 보안 문서화'로 인해 '시스템 보안 태세 평가에 대한 신뢰 부족' 판단
  • 2020년부터 5년간 검토했으나 Microsoft의 암호화 설명이 불완전해도 검토 거부 없이 반복 연기
  • 이미 정부 기관(정무부, 에너지부)과 국방산업 전역에 배포된 이유로 결국 승인, 보안 검증보다 현실에 타협

왜 중요한가

정부 보안 검증 과정의 허점을 드러내며 개발자가 클라우드 서비스 도입 시 공식 승인만 신뢰하지 말고 독립적 검토가 필요함을 시사한다.

📄 전문 번역

마이크로소프트의 보안 검증 과정에서 드러난 문제점들

연재 시리즈: Zero Trust

마이크로소프트의 사이버보안 허점 내부 고발

보도 요점

클라우드 우선 정책: 미국 정부가 연방기관들을 클라우드로 이전하기 위해 만든 프로그램이 FedRAMP입니다. 새로운 기술의 보안을 담보하는 것이 그 역할이었죠.

보안 체계 붕괴: ProPublica가 확인한 바에 따르면, FedRAMP는 마이크로소프트의 GCC High라는 제품이 정부 민감 정보를 다루도록 승인했습니다. 하지만 수년간 이 제품의 보안 문제에 대한 우려가 제기되어 왔던 상황이었습니다.

잠재적 이해 충돌: 정부가 클라우드 기술을 검증하는 데 제3 업체를 활용하고 있는데, 이 업체들은 평가 대상인 회사가 고용하고 비용을 지불합니다.

2024년 말, 연방정부의 사이버보안 평가팀이 마이크로소프트의 대표적인 클라우드 서비스에 대해 우려스러운 결론을 내렸습니다.

ProPublica가 검토한 정부 내부 보고서에 따르면, 이 기술 대기업의 "불충분한 보안 문서"로 인해 평가자들이 "시스템의 전반적 보안 태세를 평가할 수 없다"는 입장을 보였거든요. 평가팀의 한 멤버는 더 직설적으로 "이 패키지는 쓰레기"라고 표현했습니다.

수년에 걸쳐 평가자들은 마이크로소프트가 클라우드상의 민감 정보가 여러 서버를 거쳐 이동할 때 어떻게 보호하는지 제대로 설명하지 못했다고 지적했습니다. 이 같은 불명확성 때문에 정부 전문가들은 이 기술의 보안을 보장할 수 없었던 겁니다.

보통 정부 납품을 목표로 하는 회사라면 이 정도의 평가는 치명적입니다. 그런데 마이크로소프트는 더욱 그럴 이유가 있었죠. 지난 3년간 미국을 겨냥한 두 건의 대규모 사이버 공격에서 마이크로소프트 제품이 핵심 역할을 했기 때문입니다. 한 사건에서는 러시아 해커들이 취약점을 악용해 국방핵안보청(NNSA) 등 여러 연방기관에서 민감 정보를 탈취했습니다. 다른 사건에서는 중국 해커들이 내각 각료와 고위 정부 관계자들의 이메일 계정에 침투했습니다.

정부가 GCC High(Government Community Cloud High)의 보안을 검증할 수 없다면 국가 최고 민감 정보를 보호하기 위한 클라우드 서비스 모음이 제대로 기능할 수 없게 되는 것 아닌가 하는 우려도 있었습니다.

그런데도 놀랍게도, 연방정부 위험·인가 관리 프로그램(FedRAMP)은 이 제품을 승인했습니다. 워싱턴의 여론이 여전히 들끓고 있을 정도입니다. FedRAMP의 결정은 사실상 연방정부의 사이버보안 승인장 같은 것이었죠. 여기에는 "신중하게 선택하세요"라는 일종의 경고 공지도 포함되어 있었지만, 이 인가는 마이크로소프트가 수십억 달러 규모의 정부 사업을 확대하는 데 도움이 되었습니다.

마이크로소프트의 최고 보안 아키텍처 담당자 중 한 명인 리처드 웨이크만은 온라인 포럼에서 "붐 샤카 라카"라며 축하했습니다. 《월스트릿의 늑대》에 등장하는 레오나르도 디캐프리오 밈까지 올리며 이정표를 기념했죠. 웨이크만은 본지의 문의에 응하지 않았습니다.

이런 결과는 15년 전 정부 정책 입안자들이 클라우드 혁명을 수용하고 FedRAMP를 설립할 때 상상했던 시나리오가 아니었습니다. 외부 전문가의 평가를 포함한 이중·삼중의 검토 계층은 마이크로소프트 같은 서비스 제공자가 정부의 기밀을 안전하게 다룰 수 있다는 것을 보장하기 위한 것이었거든요.

그런데 ProPublica가 FedRAMP 내부 메모, 로그, 이메일, 회의록과 정부 종사자 및 계약자 7명(현직과 전직)과의 인터뷰를 바탕으로 조사한 결과, 이 과정의 모든 단계에서 문제가 드러났습니다. 특히 두 건의 극심한 사이버 공격의 중심에 마이크로소프트 제품이 있었음에도 불구하고, 정부가 마이크로소프트에 대해 놀라울 정도로 관대한 태도를 보였다는 점이 드러났습니다.

> 이건 보안이 아니라 보안 쇼다.

> — 전 NSA 컴퓨터 과학자 토니 세이저

FedRAMP는 2020년 처음 GCC High의 보안에 의문을 제기하고 마이크로소프트에 암호화 운영 방식을 설명하는 상세 다이어그램을 요청했습니다. 하지만 마이크로소프트가 불완전한 정보를 조금씩 제출했을 때, FedRAMP 담당자들은 신청을 거부하지 않았습니다. 대신 여러 번 타협하며 약 5년에 걸쳐 검토 기간을 질질 끌었던 겁니다.

그 와중에 연방기관들이 검토 기간 중에도 이 제품을 배포할 수 있도록 허용되었고, GCC High는 워싱턴 전역과 국방산업까지 퍼져 나갔습니다. 2024년 말 즈음, FedRAMP 평가자들은 결국 이 기술을 승인할 수밖에 없다는 결론에 이르렀습니다. 제기된 의문이 해소되거나 검토가 완료되어서가 아니었습니다. 마이크로소프트 제품이 이미 워싱턴 전역에서 광범위하게 사용되고 있다는 이유 때문이었습니다.

오늘날 법무부와 에너지부를 포함한 연방정부의 주요 부서와 국방산업이 이 기술을 사용해 극도로 민감한 정보를 보호하고 있습니다. 이 정보가 유출될 경우 "작전, 자산 및 개인에 심각하거나 치명적인 부작용"을 초래할 수 있다고 정부는 판단하고 있습니다.

🔗 원문 보기